Главная > Лечение вирусов > Основы информационной безопасности. Аспекты информационной безопасности Важными аспектами информационной безопасности является

Основы информационной безопасности. Аспекты информационной безопасности Важными аспектами информационной безопасности является

Аннотация: Понятия экономической и информационной безопасности. Ключевые вопросы ИБ. Виды угроз информационной безопасности и классификация источников угроз. Основные виды защищаемой информации. Правовое обеспечение информационной безопасности. Основные аспекты построения системы информационной безопасности.

Понятия экономической и информационной безопасности. Ключевые вопросы ИБ

Информация давно перестала быть просто необходимым для производства материальных ценностей вспомогательным ресурсом - она приобрела ощутимый стоимостный вес , который четко определяется реальной прибылью, получаемой при её использовании, или размерами ущерба, наносимого владельцу информации. Создание технологий и индустрии сбора, переработки, анализа информации и её доставки конечному пользователю порождает ряд сложных проблем. Одной из таких проблем является надежное обеспечение сохранности и установленного статуса информации (актуальности, полноты, непротиворечивости, конфиденциальности), циркулирующей и обрабатываемой в информационно-вычислительных системах и сетях, а также безопасность самих систем и технологий.

Современное развитие информационных технологий и, в частности, технологий Internet /Intranet, приводит к необходимости защиты информации, передаваемой в рамках распределенной корпоративной сети, использующей сети открытого доступа. При использовании своих собственных закрытых физических каналов доступа эта проблема так остро не стоит, так как в эту сеть закрыт доступ посторонним. Однако выделенные каналы может себе позволить далеко не любая компания. Поэтому приходится довольствоваться тем, что есть в распоряжении компании. А есть чаще всего Internet . Поэтому приходиться изобретать способы защиты конфиденциальных данных, передаваемых по фактически незащищенной сети.

Безопасность информационных технологий (ИТ) и систем (ИС) является одной из важнейших составляющих проблемы обеспечения экономической безопасности организации. Переход к новым формам государственного и хозяйственного управления экономикой в России в условиях дефицита и противоречивости правовой базы породил целый комплекс проблем в области защиты данных, информации, знаний и самих ИКТ. Это и своеобразие становления рыночных отношений, и отсутствие обоснованных концепций реформ, и отставание в области применения современных информационных технологий в управлении и производстве. Обострение этих проблем выдвинули на первый план вопросы обеспечения национальной, социальной и корпоративной безопасности, в том числе и в информационной сфере.

В 1983 году министерство обороны США выпустило "Оранжевую книгу" - "Критерии оценки надежных компьютерных систем" ["Trusted Computer System Evaluation Criteria ( TCSEC )". - USA, Department of Defense, 5200.28-STD, 1993], положив тем самым начало систематическому формированию знаний об информационной безопасности (ИБ) за пределами правительственных ведомств.

Во второй половине 1980-х годов аналогичные по назначению документы были изданы в ряде европейских стран [ Information Technology Security Evaluation Criteria ( ITSEC ). Harmonised Criteria of France-Germany-Netherlands-United Kingdom. - Department of Trade and Industry , London, 1991].

В 1992 году в России Государственная техническая комиссия при Президенте РФ (Гостехкомиссия РФ) издала серию документов, посвященных проблеме защиты от несанкционированного доступа.

" Оранжевая книга " и последующие подобные издания были ориентированы в первую очередь на корпоративных разработчиков программного обеспечения и информационных систем, а не на пользователей или системных администраторов. Динамичное развитие вычислительной техники, компьютерных технологий и широкое применение их в бизнесе показало, что информационная безопасность является одним из важнейших аспектов интегральной безопасности на всех уровнях - национальном, корпоративном или персональном. Для иллюстрации можно привести несколько примеров.

В 2012 году в США был опубликован годовой отчет "Компьютерная преступность и безопасность : проблемы и тенденции" ("Issues and Trends: 2012 CSI/FBI Computer Crime and Security Survey"). В отчете отмечается увеличивающийся рост числа компьютерных преступлений (39% из числа опрошенных). Информационные системы 28% респондентов были взломаны внешними злоумышленниками. Атакам через Internet подвергались 77%, в 59% случаев отмечались нарушения со стороны собственных сотрудников. В большом числе компаний (31%) вообще не следили за состоянием безопасности своих компьютерных и сетевых систем, полагаясь на защитные модули компьютерных программ и приложений. В аналогичном отчете, опубликованном в апреле 2013 года, тенденция осталась прежней:

  • 90% опрошенных (преимущественно из крупных компаний и правительственных структур) сообщили, что за последние 12 месяцев в их организациях имели место нарушения информационной безопасности;
  • 78% констатировали значительные финансовые потери от этих нарушений;
  • 49% оценили потери количественно - их общая сумма составила более 640 млн. долларов.

Согласно результатам совместного исследования Института информационной безопасности США и ФБР, в 2012 году ущерб от компьютерных преступлений достиг более 900 миллионов долларов, что на 34% больше, чем в 2011 году. Каждое компьютерное преступление наносит ущерб примерно в 200-300 тысяч долларов. Потери крупнейших компаний, вызванные компьютерными вторжениями, продолжают увеличиваться, несмотря на рост затрат на средства обеспечения безопасности (" Internet Week", 2013 г.).

Наибольший ущерб , по исследованиям Gartner Group , нанесло манипулирование доступом во внутреннее информационное пространство : кражи данных и информации из корпоративных сетей и баз данных, подмена информации, подлоги документов в электронном виде, промышленный шпионаж. Наряду с возрастанием числа внешних атак в последние годы отмечается резкий рост распространения вирусов через Интернет .

Однако, увеличение числа атак и распространение вирусов еще не самая большая неприятность - постоянно обнаруживаются новые уязвимые места в программном обеспечении. В информационных письмах Национального центра защиты инфраструктуры США (National Infrastructure Protection Center USA - NIPC ) сообщается, что за период с 2000 по 2012 годы выявлено несколько десятков существенных проблем с программным обеспечением, риск использования которых оценивается как средний или высокий. Среди "пострадавших" операционных платформ - почти все разновидности ОС Unix, Windows , Mac OS, . NET . В таких условиях специалисты и системы информационной безопасности должны уметь противостоять внешним и внутренним угрозам, выявлять проблемы в системах защиты программного обеспечения и на основе соответствующей политики вырабатывать адекватные меры по компенсации угроз и уменьшению рисков.

При анализе проблематики, связанной с информационной безопасностью (ИБ), необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть разработки, внедрения и эксплуатации информационных систем и технологий - области, развивающейся беспрецедентно высокими темпами.

К сожалению, современная технология программирования не позволяет создавать полностью безошибочные и безопасные программы. Поэтому следует исходить из того, что необходимо создавать надежные системы ИБ с привлечением не стопроцентно надежных программных компонентов (программ)!

В принципе, это возможно, но требует соблюдения определенных принципов архитектурного построения программных комплексов и контроля состояния защищенности программно-аппаратного обеспечения, телекоммуникационных устройств и сетей на всем протяжении жизненного цикла ИС.

Экономическая и информационная безопасность. Составляющие информационной безопасности

Для чего необходимы знания по основам информационной безопасности? Как строить безопасные, надежные системы и сети? Как поддерживать режим безопасности информации в системах и сетях? Бурное развитие техники, новейших компьютерных технологий и широкое применение их в бизнесе показало, что информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне ни рассматривать эту проблему - национальном, корпоративном или персональном.

Необходимость реализации, сопровождения и развития систем ИБ - это оборотная сторона широкого использования информационных технологий, так как наступление нового этапа развития ИТ закономерно приводит к быстрому падению уровня информационной безопасности (рис. 1.1).


Рис. 1.1.

Отметим ещё одну существенную - можно сказать парадоксальную - особенность развития информационных технологий: технологии постоянно усложняются, однако квалификация нарушителей и злоумышленников понижается (рис. 1.2). Это происходит оттого, что новые средства создания программного кода и сетевые технологии изначально строятся так, чтобы они были доступны пользователям, не обладающим высокой профессиональной подготовкой.


Рис. 1.2.

В "Доктрине информационной безопасности Российской Федерации" защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационной сфере. К настоящему времени сложилась общепринятая точка зрения на концептуальные основы ИБ. Суть ее заключается в том, что подход к обеспечению ИБ должен быть комплексным, сочетающим меры следующих уровней:

  • законодательного - федеральные и региональные законы, подзаконные и нормативные акты, международные, отраслевые и корпоративные стандарты;
  • административного - действия общего и специального характера, предпринимаемые руководством организации;
  • процедурного - меры безопасности, закрепленные в соответствующих методологиях и реализуемые ответственными менеджерами и персоналом предприятия;
  • научно-технического - конкретные методики, программно-аппаратные, технологические и технические меры.

Главными принципами обеспечения безопасности в соответствии с законом РФ "О безопасности" являются: законность, соблюдение баланса жизненно важных интересов личности, общества и государства, взаимная ответственность перечисленных субъектов, интеграция системы безопасности в рамках компании, общества, государства, взаимодействие с международными системами безопасности.

Экономическая безопасность предпринимательской деятельности и хозяйствующего субъекта можно определить как "защищенность жизненно важных интересов государственного или коммерческого предприятия от внутренних и внешних угроз, защиту кадрового и интеллектуального потенциала, технологий, данных и информации, капитала и прибыли, которая обеспечивается системой мер правового, экономического, организационного, информационного, инженерно-технического и социального характера" [Грунин О. А., Грунин С. О., 2002].

Стратегия обеспечения экономической безопасности Российской Федерации строится на основании официально действующих правовых и нормативных актов, основными из которых являются:

  • Конституция Российской Федерации;
  • Закон "О безопасности" от 5 марта 1992 г. с изменениями и дополнениями от 25 декабря 1992 г.;
  • Государственная стратегия экономической безопасности РФ (Основные положения), одобренная Указом Президента РФ № 608 от 29 апреля 1996 г.;
  • Концепция национальной безопасности Российской Федерации, введенная Указом Президента РФ № 24 от 10 января 2000 г.

Исходя из необходимости достижения целей обеспечения экономической безопасности предпринимательской деятельности, можно выделить следующие основные проблемные направления:

  • организацию эффективной защиты материальной, финансовой и интеллектуальной собственности,
  • защиту информационных ресурсов предприятия,
  • эффективное управление ресурсами и персоналом.

В современных условиях коммерческий успех любого предприятия в большой степени зависит от оперативности и мобильности бизнеса, от своевременности и быстроты принятия эффективных управленческих решений. А это невозможно без надежного и качественного информационного взаимодействия между различными участниками бизнес-процессов. Сегодня предприятия в качестве среды для информационного обмена все чаще используют открытые каналы связи сетей общего доступа (Internet) и внутреннее информационное пространство предприятия (Intranet). Открытые каналы Internet/Intranet намного дешевле по сравнению с выделенными каналами. Однако сети общего пользования имеют существенный недостаток - открытость и доступность информационной среды. Компании не могут полностью контролировать передачу и приём данных по открытым каналам и при этом гарантировать их целостность и конфиденциальность. Злоумышленникам не составляет особого труда перехватить деловую информацию с целью ознакомления, искажения, кражи и т. п.рис. 1.3

  • конфиденциальность - засекреченная информация должна быть доступна только тому, кому она предназначена: такую информацию невозможно получить, прочитать, изменить, передать, если на это нет соответствующих прав доступа;
  • доступность (готовность) - это возможность за приемлемое время получить требуемую информационную услугу: данные, информация и соответствующие службы, автоматизированные сервисы, средства взаимодействия и связи должны быть доступны и готовы к работе всегда, когда в них возникает необходимость.

    • Деятельность по обеспечению информационной безопасности направлена на то, чтобы не допустить, предотвратить или нейтрализовать:

    • несанкционированный доступ к информационным ресурсам (НСД, Unauthorized Access - UAA);
    • искажение, частичную или полную утрату конфиденциальной информации;
    • целенаправленные действия (атаки) по разрушению целостности программных комплексов, систем данных и информационных структур;
    • отказы и сбои в работе программно-аппаратного и телекоммуникационного обеспечения.

    Для большинства государственных и коммерческих организаций вопросы защиты от несанкционированного доступа и сохранности данных и информации имеют более высокий приоритет, чем проблемы локальных неисправностей компьютерного и сетевого оборудования. Напротив, для многих открытых организаций (общественных, учебных) защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте. Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных технологий и систем (ИТ/ИС).

    Итоговый тест по предмету «Информатика и ИКТ»

    Тема «Информационная безопасность»

    I .Утечка информации
    1) несанкционированное изменение информации, корректное по форме, содержанию, но отличное по смыслу
    2) ознакомление постороннего лица с содержанием секретной информации
    3) потеря, хищение, разрушение или неполучение переданных данных

    II . Под изоляцией и разделением (требование к обеспечению ИБ) понимают
    1) разделение информации на группы так, чтобы нарушение одной группы информации не влияло на безопасность других групп информации (документов)
    2) разделение объектов защиты на группы так, чтобы нарушение защиты одной группы не влияло на безопасность других групп

    III . К аспектам ИБ относятся
    1) дискретность
    2) целостность
    3) конфиденциальность
    4) актуальность
    5) доступность

    IV . Линейное шифрование -
    Выберите один из 3 вариантов ответа:
    1) несанкционированное изменение информации, корректное по форме и содержанию, но отличное по смыслу
    2) криптографическое преобразование информации при ее передаче по прямым каналам связи от одного элемента ВС к другому
    3) криптографическое преобразование информации в целях ее защиты от ознакомления и модификации посторонними лицами

    V . Угроза - это
    Выберите один из 2 вариантов ответа:
    1) возможное событие, действие, процесс или явление, которое может привести к ущербу чьих-либо интересов
    2) событие, действие, процесс или явление, которое приводит к ущербу чьих-либо интересов

    VI . Под ИБ понимают
    Выберите один из 3 вариантов ответа:
    1) защиту от несанкционированного доступа
    2) защиту информации от случайных и преднамеренных воздействий естественного и иc скуственного характера
    3) защиту информации от компьютерных вирусов

    VII . Что такое криптография?
    Выберите один из 3 вариантов ответа:
    1) метод специального преобразования информации, с целью защиты от ознакомления и модификации посторонним лицом
    2) область доступной информации
    3) область тайной связи, с целью защиты от ознакомления и модификации посторонним лицом
    VIII . Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, установленными собственником информации называется
    1) кодируемой
    2) шифруемой
    3) недостоверной
    4) защищаемой

    IX . Абстрактное содержание какого-либо высказывания, описание, указание, сообщение либо известие - это

    Выберите один из 4 вариантов ответа:
    1) текст
    2) данные
    3) информация
    4) пароль

    X . Организационные угрозы подразделяются на
    1) угрозы воздействия на персонал
    2) физические угрозы
    3) действия персонала
    4) несанкционированный доступ

    XI . Виды технической разведки (по месту размещения аппаратуры)
    Выберите несколько из 7 вариантов ответа:
    1) космическая
    2) оптическая
    3) наземная
    4) фотографическая
    5) морская
    6) воздушная
    7) магнитометрическая

    XII . Основные группы технических средств ведения разведки
    Выберите несколько из 5 вариантов ответа:
    1) радиомикрофоны
    2) фотоаппараты
    3) электронные "уши"
    4) дистанционное прослушивание разговоров
    5) системы определения местоположения контролируемого объекта

    XIII . Разновидности угроз безопасности
    1) техническая разведка
    2) программные
    3) программно-математичекие
    4) организационные
    5) технические
    6) физические

    XIV . Потенциально возможное событие, действие, процесс или явление, которое может причинить ущерб чьих-нибудь данных, называется
    Выберите один из 4 вариантов ответа:
    1) угрозой;
    2) опасностью;
    3) намерением;
    4) предостережением.

    XV . Из каких компонентов состоит программное обеспечение любой универсальной компьютерной системы?
    Выберите один из 4 вариантов ответа:
    1) операционной системы, сетевого программного обеспечения
    2) операционной системы, сетевого программного обеспечения и системы управления базами данных;
    3) операционной системы, системы управления базами данных;
    4) сетевого программного обеспечения и системы управления базами данных.

    XVI . Комплекс мер и средств, а также деятельность на их основе, направленная на выявление, отражение и ликвидацию различных видов угроз безопасности объектам защиты называется
    Выберите один из 4 вариантов ответа:
    1) системой угроз;
    2) системой защиты;
    3) системой безопасности;
    4) системой уничтожения.

    XVII . К видам защиты информации относятся:
    Выберите несколько из 4 вариантов ответа:
    1) правовые и законодательные:
    2) морально-этические;
    3) юридические;
    4) административно-организационные;

    XVIII . К методам защиты от НСД относятся
    Выберите несколько из 5 вариантов ответа:
    1) разделение доступа;
    2) разграничение доступа;
    3) увеличение доступа;
    4) ограничение доступа.
    5) аутентификация и идентификация

    XIX . Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности называется
    Выберите один из 4 вариантов ответа:
    1) политикой информации
    2) защитой информации
    3) политикой безопасности
    4) организацией безопасности

    XX . Выделите группы, на которые делятся средства защиты информации:
    Выберите один из 3 вариантов ответа:
    1) физические, аппаратные, программные, криптографические, комбинированные;
    2) химические, аппаратные, программные, криптографические, комбинированные;
    3) физические, аппаратные, программные, этнографические, комбинированные;

    XXI . Какие законы существуют в России в области компьютерного права?
    Выберите несколько из 6 вариантов ответа:
    1) О государственной тайне
    2) об авторском праве и смежных правах
    3) о гражданском долге
    4) о правовой охране программ для ЭВМ и БД
    5) о правовой ответственности
    6) об информации, информатизации, защищенности информации

    XXII . В чем заключается основная причина потерь информации, связанной с ПК?
    Выберите один из 3 вариантов ответа:
    1) с глобальным хищением информации
    2) с появлением интернета
    3) с недостаточной образованностью в области безопасности

    XXIII .Что такое несанкционированный доступ (нсд)?
    1) Доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа
    2) Создание резервных копий в организации
    3) Правила и положения, выработанные в организации для обхода парольной защиты
    4) Вход в систему без согласования с руководителем организации
    5) Удаление не нужной информации

    XXIV . Что такое аутентификация?
    Выберите один из 5 вариантов ответа:
    1) Проверка количества переданной и принятой информации
    2) Нахождение файлов, которые изменены в информационной системе несанкционированно
    3) Проверка подлинности идентификации пользователя, процесса, устройства или другого компонента системы (обычно осуществляется перед разрешением доступа).
    4) Определение файлов, из которых удалена служебная информация
    5) Определение файлов, из которых удалена служебная информация

    XXV . Кодирование информации -
    Выберите один из 2 вариантов ответа:
    1) представление информации в виде условных сигналов с целью автоматизации ее хранения, обработки, передачи и т.д.
    2) метод специального преобразования информации, с целью защиты от ознакомления и модификации посторонним лицом

    Таблица правильных ответов

    № вопроса

    № правильных ответов

    2 ,3,5

    VIII

    XIII

    XVII

    XVIII

    XXII

    XXIII

    XXIV

    Контрольные вопросы?

    Угрозы безопасности информации и их классификация.

    Информационная безопасность и ее составляющие

    Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.

    На практике важнейшими являются три аспекта информационной безопасности:

    · доступность (возможность за разумное время получить требуемую информационную услугу);

    · целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

    конфиденциальность (защита от несанкционированного доступа к информации).

    Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно подразделить на пять уровней:

    1. законодательный (законы, нормативные акты, стандарты и т.п.);

    2. морально-этический (всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации);

    3. административный (действия общего характера, предпринимаемые руководством организации);

    4. физический (механические, электро- и электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей);

    5. аппаратно-программный (электронные устройства и специальные программы защиты информации).

    Единая совокупность всех этих мер, направленных на противодействие угрозам безопасности с целью сведения к минимуму возможности ущерба, образуют систему защиты .

    Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности.

    Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность.

    Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

    Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).

    Угрозы можно классифицировать по нескольким критериям:

    · по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;

    · по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

    · по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);

    · по расположению источника угроз (внутри/вне рассматриваемой ИС).

    Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.

    Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). По некоторым данным, до 65% потерь - следствие непреднамеренных ошибок.

    Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе.

    Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль.

    Другие угрозы доступности классифицируем по компонентам ИС, на которые нацелены угрозы:

    · отказ пользователей;

    · внутренний отказ информационной системы;

    · отказ поддерживающей инфраструктуры.

    К поддерживающей инфраструктуре можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал.

    Обычно применительно к пользователям рассматриваются следующие угрозы:

    · нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками);

    · невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.);

    · невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).

    Основными источниками внутренних отказов являются:

    · отступление (случайное или умышленное) от установленных правил эксплуатации;

    · выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);

    · ошибки при (пере)конфигурировании системы;

    · отказы программного и аппаратного обеспечения;

    · разрушение данных;

    · разрушение или повреждение аппаратуры.

    По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:

    · нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;

    · разрушение или повреждение помещений;

    · невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

    Весьма опасны так называемые "обиженные" сотрудники - нынешние и бывшие. Как правило, они стремятся нанести вред организации-"обидчику", например:

    · испортить оборудование;

    · встроить логическую бомбу, которая со временем разрушит программы и/или данные;

    · удалить данные.

    Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны нанести немалый ущерб. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.

    Опасны, разумеется, и стихийные бедствия - пожары, наводнения, землетрясения, ураганы. По статистике, на долю огня, воды и тому подобных "злоумышленников" (среди которых самый опасный - перебой электропитания) приходится 13% потерь, нанесенных информационным системам.

    1. Что такое компьютерная графика:

    2. Виды графических систем

    3. Устройства вывода видеоинформации.

    4. Отличие Internet от любой другой компьютерной сети.

    5. Понятие и назначение TCP/IP.

    6. Основные протоколы уровня приложений.

    7. Зачем в Internet нужна адресация?

    8. Виды адресации в Internet.

    9. Что подразумевают под понятием «угроза» информации?

    10. Что понимают под информационной безопасностью?

    Задачи Уровни обеспечения

    - Доступность Государство:

    - Целостность - Концептуально-политический

    - Конфиденциальность - Законодательный

    - Нормативно-технический

    Предприятие:

    - Административный

    - Программно-технический

    Отдельные граждане

    Рис.1. Задачи и уровни обеспечения Информационной безопасности

    Задачи информационной безопасности как обеспечения, комбинации доступности , целостности и конфиденциальности информации определяются в ряде международных и российских руководящих документов. В целом под этими терминами подразумевается соответственно:

    - доступность информации - возможность за приемлемое время получить требуемую информационную услугу, а также предотвращение несанкционированного отказа в получении информации;

    - целостность информации - предотвращение несанкционированной модификации или разрушения информации;

    - конфиденциальность - предотвращение несанкционированного ознакомления с информацией.

    Доступность информации является ведущим аспектом информационной безопасности .

    Информационные системы создаются или приобретаются прежде всего для получения определенных информационных услуг. Если получение этих услуг становится невозможным, это наносит ущерб всем субъектам информационных отношений. Особенно ярко важность доступности как аспекта информационной безопасности проявляется в разного рода системах управления производством, транспортом. Менее критичными к отказам в доступе являются различные справочно-информационные услуги, которыми пользуется большое количество людей: продажа билетов, банковские операции, различного рода справки. Однако длительная недоступность ресурсов подобного рода может повлечь весьма не приятные последствия как в моральном, так и в материальном плане.

    Целостность информации - также немаловажный аспект информационной безопасности, обеспечивающий предотвращение несанкционированных изменений и разрушений информации.

    Примерами нарушения целостности могут служить различные, совершенные при помощи вычислительных систем, кражи в банках, подделка кредитных карточек, изменения информации в различных информационных системах.

    2.2. Аспекты информационной безопасности

    Самым проработанным и обширно представленным во всех измерениях является аспект конфиденциальности информации . На ее страже стоят законы, нормативные акты, технические средства и многолетний опыт различных государственных структур.

    Однако обеспечение конфиденциальности информации - один из самых сложных в практической реализации аспект информационной безопасности.

    В обеспечении информационной безопасности нуждаются четыре существенно разные категории субъектов:

    Государство в целом;

    Государственные организации;

    Коммерческие структуры;

    Отдельные граждане.

    Рассмотрим особенности мер по обеспечению информационной безопасности на различных уровнях ее обеспечения в соответствии с рис.1

    На концептуально-политическом уровне принимаются документы, в которых:

    Определяются направления государственной политики информационной безопасности,

    Формулируются цели и задачи обеспечения информационной безопасности всех перечисленных выше субъектов;

    Намечаются пути и средства достижения поставленных целей и решения задач.

    Примером такого документа является Доктрина информационной безопасности РФ.

    На законодательном уровне создается и поддерживается комплекс мер, направленных на правовое регулирование обеспечения информационной безопасности , отражаемых в законах и других правовых актах (указы Президента, постановления Правительства и др.).

    Одной из важных задач этого уровня является создание механизма, позволяющего согласовать процесс разработки законов с прогрессом информационных технологий. Естественно, законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к общему снижению информационной безопасности.

    На нормативно-техническом уровне разрабатываются: стандарты, руководящие материалы, методические материалы и другие документы, регламентирующие процессы разработки, внедрения и эксплуатации средств обеспечения информационной безопасности.

    Важной задачей этого уровня в настоящее время является, в частности, приведение российских стандартов в соответствие с международным уровнем информационных технологий вообще и информационной безопасности в частности.

    Есть много причин, по которым это должно быть сделано. Одна из них - необходимость взаимодействия с зарубежными компаниями и зарубежными филиалами российских компаний. Сейчас эта проблема решается по существу в обход действующего законодательства, путем получения разовых разрешений.

    На уровне предприятия осуществляются конкретные меры по обеспечению информационной безопасности деловой деятельности.

    Их конкретный состав и содержание во многом определяется особенностями конкретного предприятия или организации. Например, даже из самых общих соображений понятно, что бессмысленно переносить практику режимных государственных организаций на коммерческие структуры, учебные заведения или персональные компьютерные системы. Тем не менее, здесь, как это и показано на рис. 1., можно выделить два характерных уровня обеспечения информационной безопасности - административный и программно-технический.

    На административном уровне руководство организации реализует меры общего характера и конкретные меры обеспечения информационной безопасности.

    Основой мер общего характера служит так называемая политика безопасности .

    Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

    Политика безопасности определяет:

    Стратегию организации в области информационной безопасности,

    А также количество ресурсов, которые руководство считает целесообразным выделить.

    Политика безопасности строится на основеанализа рисков , которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п. В составе конкретных мер по обеспечению информационной безопасности можно выделить:

    Управление персоналом;

    Физическая защита;

    Поддержание работоспособности;

    Реагирование на нарушения режима безопасности;

    Планирование восстановительных работ.

    В целом ряде отечественных организаций накоплен богатый опыт составления перечня и реализации подобных мер, процедурных (организационных) мер, однако проблема состоит в том, что они или пришли из докомпьютерного прошлого, поэтому нуждаются в существенном пересмотре, или просто не поспевают за стремительным развитием информационных технологий.

    На программно-техническом уровне согласно современным представлениям должны быть доступны по крайней мере следующие механизмы безопасности:

    Идентификация и проверка подлинности пользователей;

    Управление доступностью;

    Протоколирование и аудит;

    Криптография;

    Экранирование;

    Обеспечение высокой доступности.

    В принципе здесь сегодня (если иметь в виду зарубежные продукты), доступен полный спектр решений. Если же рассмотреть практическую ситуацию, осложненную разного рода законодательными ограничениями, то окажется, что обеспечение информационной безопасности на программно-техническом уровне является весьма непростой задачей.

    Составляющие информационной безопасности

    В общем случае информационную безопасность (ИБ) можно определить как "защищенность информации, ресурсов и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений – производителям, владельцам и пользователям информации и поддерживающей инфраструктуре" .

    Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации: это принципиально более широкое понятие, включающее защиту информации, технологий и систем.

    Требования по обеспечению безопасности в различных аспектах информационной деятельности могут существенно отличаться, однако они всегда направлены на достижение следующих трех основных составляющих информационной безопасности:

    • целостности . Это в первую очередь актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения, а именно: данные и информация, на основе которой принимаются решения, должны быть достоверными, точными и защищенными от возможных непреднамеренных и злоумышленных искажений;
    • конфиденциальности . Засекреченная информация должна быть доступна только тому, кому она предназначена. Такую информацию невозможно получить, прочитать, изменить, передать, если на это нет соответствующих прав доступа;
    • доступности (готовности). Это возможность за приемлемое время получить требуемую информационную услугу, т.е. данные, информация и соответствующие службы, автоматизированные сервисы, средства взаимодействия и связи должны быть доступны и готовы к работе всегда, когда в них возникает необходимость.

    Деятельность по обеспечению информационной безопасности направлена на то, чтобы не допустить, предотвратить или нейтрализовать следующие действия:

    • несанкционированный доступ к информационным ресурсам (НСД, Unauthorized Access – UAA);
    • искажение, частичную или полную утрату конфиденциальной информации;
    • целенаправленные действия (атаки) по разрушению целостности программных комплексов, систем данных и информационных структур;
    • отказы и сбои в работе программно-аппаратного и телекоммуникационного обеспечения.

    Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных технологий и систем (ИТ/ИС).

    Оценка реальной ситуации сводится в большинстве случаев к ответу на ключевые вопросы, составляющие системную основу для обеспечения информационной безопасности, и в частности надо ли защищаться, от кого и чего следует защищаться, что и как требуется защищать, какие меры обеспечат эффективность защиты, а также оценить предполагаемую стоимость разработки, внедрения, эксплуатации, сопровождения и модернизации систем безопасности.

    Первые три вопроса непосредственным образом относятся к проблеме оценки реальных угроз (рис. 7.1) 16]. Ответы на эти вопросы неоднозначны – многое зависит от структуры, области деятельности и целей компании. При интеграции индивидуальных и корпоративных информационных систем и ресурсов в единую информационную инфраструктуру определяющим фактором является обеспечение должного уровня информационной безопасности для каждого субъекта, принявшего решение войти в единую инфраструктуру.

    Рис. 7.1.

    В едином информационном пространстве государственной структуры или коммерческой фирмы должны быть созданы механизмы и инструмент аутентификации для проверки подлинности пользователя, сообщения и контента. Таким образом, должна быть создана система информационной безопасности, которая включала бы необходимый комплекс мероприятий и технических решений по защите:

    • от нарушения функционирования информационного пространства путем исключения воздействия на информационные каналы и ресурсы;
    • несанкционированного доступа к информации путем обнаружения и ликвидации попыток по использованию ресурсов информационного пространства, приводящих к нарушению его целостности;
    • разрушения встраиваемых средств защиты с возможностью выявления неправомочности действий пользователей и обслуживающего персонала;
    • внедрения программных " вирусов " и "закладок " в программные продукты и технические средства.

    Особо следует отметить задачи обеспечения безопасности разрабатываемых и модифицируемых систем в интегрированной информационной среде, так как в процессе модификации КИС неизбежно возникновение нештатных ситуаций незащищенности системы (так называемые "дыры в системе").

    Наряду с анализом существующих в компании конкретных средств защиты должна осуществляться разработка политики в области информационной безопасности, включающей совокупность организационно-распорядительных мер и документов, а также методологических и технических решений, являющихся основой для создания инфраструктуры информационной безопасности (рис. 7.2) .

    Рис. 7.2.

    Следующим этапом по разработке комплексной системы информационной безопасности служит приобретение, установка и настройка средств и механизмов защиты информации. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны (брандмауэры, файерволы), средства анализа защищенности и др. Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал.

    С течением времени имеющиеся средства защиты устаревают, выходят новые версии систем обеспечения информационной безопасности, постоянно расширяется список найденных уязвимых мест и атак, меняются технология обработки информации, программные и аппаратные средства, а также персонал компании. Поэтому необходимо регулярно пересматривать разработанные организационнораспорядительные документы, проводить обследование ИС или ее подсистем, обучать персонал и обновлять средства защиты.

    Любое предприятие, получающее ресурсы, в том числе и информационные, перерабатывает их, чтобы в конечном итоге реализовать на рынке собственный коммерческий продукт. При этом оно порождает специфическую внутреннюю среду, которая формируется усилиями персонала всех структурных подразделений, а также техническими средствами и технологическими процессами, экономическими и социальными отношениями как внутри предприятия, так и во взаимодействии с внешней средой.

    Корпоративная информация отражает финансово- экономическое состояние предприятия и результаты его деятельности. Примеры подобной информации – это регистрационные и уставные документы, долгосрочные и текущие планы, приказы, распоряжения, отчеты, производственные данные, данные о движении финансов и других ресурсов, сведения о подготовке персонала и сферах применения продуктов деятельности, включая методы и каналы сбыта, технику продаж, заказы, логистику, информацию о поставщиках и партнерах.

    Источники корпоративной информации – директорат и администрация предприятия, планово-финансовые подразделения, бухгалтерия, ИТ-отделы и вычислительные центры, отделы главного инженера и главного механика, производственные подразделения, юридические, эксплуатационные и ремонтные службы, отделы логистики, закупки и сбыта и т.д.

    Корпоративная среда включает государственные, экономические, политические и социальные субъекты, действующие за пределами предприятия. Информация вне корпоративной среды часто неполна, противоречива, приблизительна, разнородна и неадекватно отражает состояние внешней среды. Примерами внешней информации, выходящей за пределы корпоративной среды, являются состояние рынка (его долговременное и текущее состояние, тенденции в деловой среде, колебания спроса и предложения, нестабильность ситуации, изменчивость, противоречивость требований), изменения в законодательстве, ожидания потребителей, "происки" конкурентов, последствия политических событий и т.д.

    Бо́льшая часть этой информации является открытой, однако в зависимости от особенностей внутренней деятельности и взаимодействия с внешним миром часть информации может быть предназначена "для служебного пользования", т.е. быть "строго конфиденциальной" или "секретной". Такая информация является, как правило, "закрытой" и требует соответствующих мер защиты.

    Для обеспечения безопасности при работе с охраняемой информацией следует, во-первых, выстроить политику работы с конфиденциальной и служебной информацией, разработать и внедрить соответствующие руководства и процедуры и, во-вторых, обеспечить необходимые программно-аппаратные ресурсы.

    Программно-аппаратные средства для работы с охраняемой информацией либо встраиваются в соответствующие модули корпоративной информационной системы (КИС), либо используются локально в системах, оговоренных в политике ИБ. К ним относятся устройства, осуществляющие:

    • мониторинг перемещения конфиденциальной информации по информационной системе (Data-in-Shell);
    • управление контролем утечки данных через сетевой трафик по протоколам TCP/IP, SMTP, IMAP, HTTP(s), IM (ICQ, AOL, MSN), FTP, SQL, собственных протоколов посредством фильтрации контента на уровне:
    • – шлюза, через который идет трафик из внутренней сети во внешнюю сеть (Data-in-Motion);
    • – сервера, обрабатывающего определенный тип трафика (Data-at-Rest);
    • – рабочей станции (Data-in-Use);
    • – внутренних каналов почты Microsoft Exchange, Lotus Notes и др.
    • – управления контролем утечки охраняемой информации с рабочих станций, периферийных и мобильных
    • – установления проактивной защиты и персональных сетевых экранов;
    • – теневого копирования информационных объектов в единую базу контентной фильтрации для всех каналов по единым правилам.

    Грамотно организовать защиту охраняемых данных и информации нелегко и недешево. Для этого нужно провести классификацию данных, тщательную инвентаризацию информационных ресурсов, выбрать адекватное программноаппаратное решение, разработать и внедрить совокупность регламентирующих документов по обеспечению внутренней безопасности. Главную роль в этой непростой работе по минимизации рисков утечки данных играют компетентность и воля высшего руководства предприятия, актуальные политики и эффективные программные средства, а также режим коммерческой тайны при работе с охраняемой информацией.


    Рекомендуем также